AD FS - Amazon Redshift

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AD FS

Questo tutorial mostra come utilizzare AD FS come provider di identità (IdP) per accedere al cluster Amazon Redshift.

Passaggio 1: configura AD FS e il tuo AWS account in modo che si fidino l'uno dell'altro

La procedura seguente descrive come impostare una relazione di fiducia.

  1. Crea o utilizza un cluster Amazon Redshift esistente a cui possono connettersi gli utenti di AD FS. Per configurare la connessione, sono necessarie alcune proprietà di questo cluster, ad esempio l'identificatore del cluster. Per ulteriori informazioni, consulta Creazione di un cluster.

  2. Configura AD FS per controllare l'accesso di Amazon Redshift nella Console di gestione Microsoft:

    1. Scegli ADFS2.0, quindi scegli Aggiungi Relying Party Trust. Nella pagina Add Relying Party Trust Wizard (Aggiunta guidata relazione di trust), scegliere Start (Avvia).

    2. Nella pagina Select Data Source (Seleziona origine dati), scegliere Import data about the relying party published online or on a local network (Importa dati sul relying party pubblicati online o in una rete locale).

    3. Per l'indirizzo dei metadati della Federazione (nome host oURL), inserisci. https://signin.aws.amazon.com/saml-metadata.xml Il XML file di metadati è un documento di SAML metadati standard che viene descritto AWS come relying party.

    4. Nella pagina Specify Display Name (Specificare nome visualizzato), immettere un valore per Display name (Nome visualizzato).

    5. Nella pagina Choose Issuance Authorization Rules (Scegli regole di autorizzazione di emissione), scegliere una regola di autorizzazione di emissione per consentire o rifiutare a tutti gli utenti l'accesso a questo relying party.

    6. Nella pagina Ready to Add Trust (Pronto ad aggiungere trust), rivedere le impostazioni.

    7. Nella pagina Finish (Termina), scegliere Open the Edit Claim Rules dialog for this relying party trust when the wizard closes (Apri la finestra di dialogo Modifica regole di registrazione per questa relazione di trust quando si chiude la procedura guidata).

    8. Nel menu di scelta rapida, scegliere Relying Party Trusts (Relazione di trust).

    9. Per il relying party, aprire il menu contestuale e scegliere Edit Claim Rules (Modifica regole di registrazione). Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola).

    10. Per il modello di regola di reclamo, scegli Trasforma un reclamo in entrata, quindi nella NameId pagina Modifica regola — procedi come segue:

      • Per il nome della regola di reclamo, inserisci NameId.

      • In Incoming claim name (Nome registrazione in ingresso), scegliere Windows Account Name (Nome account Windows).

      • In Outgoing claim name (Nome registrazione in uscita), scegliere Name ID (ID nome).

      • In Outgoing name ID format (Formato ID nome in uscita), scegliere Persistent Identifier (Identificatore persistente).

      • Scegliere Pass through all claim values (Passaggio di tutti i valori di registrazione).

    11. Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Seleziona modello di regola, per il modello di regola di reclamo, scegli Invia LDAP attributi come reclami.

    12. Nella pagina Configure Rule (Configura regola), procedere come segue:

      • In Claim rule name (Nome regola di attestazione), inserisci RoleSessionName.

      • In Attribute store (Archivio attributi), scegliere Active Directory.

      • Per LDAPAttributo, scegli Indirizzi e-mail.

      • Per Tipo di attestazione in uscita, scegli https://aws.amazon.com/SAML/Attributes/RoleSessionName.

    13. Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola), per Claim rule template (Modello regola di registrazione), scegliere Send Claims Using a Custom Rule (Invia registrazioni utilizzando una regola personalizzata).

    14. Nella pagina Edit Rule – Get AD Groups (Modifica regola — Ottieni AD), per Claim rule name (Nome regola registrazione), immettere Get AD Groups (Ottieni gruppi AD).

    15. Per Custom rule (Regola personalizzata), immettere quanto segue.

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
    16. Nella pagina Edit Claim Rules (Modifica regole di registrazione), scegliere Add Rule (Aggiungi regola). Nella pagina Select Rule Template (Seleziona modello regola), per Claim rule template (Modello regola di registrazione), scegliere Send Claims Using a Custom Rule (Invia registrazioni utilizzando una regola personalizzata).

    17. Nella pagina Edit Rule – Roles (Modifica regola - Ruoli), in Claim rule name (Nome regola di registrazione), digitare Roles (Ruoli).

    18. Per Custom rule (Regola personalizzata), immettere quanto segue.

      c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-", "arn:aws:iam::123456789012:saml-provider/ADFS,arn:aws:iam::123456789012:role/ADFS-"));

      Annota ARNs il SAML provider e il ruolo da assumere. In questo esempio, arn:aws:iam:123456789012:saml-provider/ADFS è il ARN SAML fornitore e arn:aws:iam:123456789012:role/ADFS- ARN il ruolo.

  3. Accertarsi di aver scaricato il file federationmetadata.xml. Verificare che il documento non contenga caratteri non validi. Questo è il file di metadati utilizzato durante la configurazione della relazione di trust con AWS.

  4. Crea un provider di IAM SAML identità sulla IAM console. Il documento di metadati che fornisci è il XML file di metadati di federazione che hai salvato quando hai configurato l'applicazione Azure Enterprise. Per i passaggi dettagliati, vedi Creazione e gestione di un provider di IAM identità (console) nella Guida per l'utente. IAM

  5. Crea un IAM ruolo per la federazione SAML 2.0 sulla IAM console. Per i passaggi dettagliati, consulta Creazione di un ruolo per SAML nella Guida per l'IAMutente.

  6. Crea una IAM policy da allegare al IAM ruolo creato per la federazione SAML 2.0 sulla IAM console. Per i passaggi dettagliati, consulta Creazione IAM di politiche (console) nella Guida IAM per l'utente. Per un esempio di Azure AD, consulta Configurazione dell'autenticazione JDBC ODBC Single Sign-On.

Passaggio 2: configurazione JDBC o ODBC per l'autenticazione su AD FS

JDBC

La procedura seguente descrive come impostare una JDBC relazione con AD FS.

  • Configura il client di database per la connessione al cluster JDBC tramite il Single Sign-on di AD FS.

    Puoi utilizzare qualsiasi client che utilizza un JDBC driver per la connessione tramite Single Sign-on AD FS o utilizzare un linguaggio come Java per la connessione tramite uno script. Per informazioni sull'installazione e sulla configurazione, consulta Configurazione di una connessione per la versione 2.1 del JDBC driver per Amazon Redshift.

    Ad esempio, puoi usare SQLWorkbench /J come client. Quando si configura SQLWorkbench /J, il formato URL del database viene utilizzato il seguente formato.

    jdbc:redshift:iam://cluster-identifier:us-west-1/dev

    Se usi SQLWorkbench /J come client, procedi nel seguente modo:

    1. Avvia SQL Workbench/J. Nella pagina Seleziona profilo di connessione, aggiungi un gruppo di profili, ad esempio. ADFS

    2. In Connection Profile (Profilo connessione), immettere il nome del profilo di connessione, ad esempio ADFS.

    3. Selezionare Manage Drivers (Gestisci driver), quindi Amazon Redshift. Scegli l'icona Apri cartella accanto a Libreria, quindi scegli il file.jar appropriatoJDBC.

    4. Nella pagina Select Connection Profile (Seleziona profilo connessione), aggiungere informazioni al profilo di connessione come segue:

      • In User (Utente), immettere il nome utente AD FS. Si tratta del nome utente dell'account che si sta utilizzando per Single Sign-On che dispone delle autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo.

      • In Password, immettere la password AD FS.

      • Per Drivers (Driver), scegliere Amazon Redshift (com.amazon.com.rproxy.goskope.comredShift.jdbc.driver).

      • Per URL, inseriscijdbc:redshift:iam://your-cluster-identifier:your-cluster-region/your-database-name.

    5. Scegli Proprietà estese. Per plugin_name, immettere com.amazon.redshift.plugin.AdfsCredentialsProvider. Questo valore indica al driver di utilizzare Single Sign-On di Azure AD come metodo di autenticazione.

ODBC
ODBCPer configurare l'autenticazione ad FS
  • Configura il client di database per la connessione al cluster ODBC tramite il Single Sign-on di AD FS.

    Amazon Redshift fornisce ODBC driver per i sistemi operativi Linux, Windows e macOS. Prima di installare un ODBC driver, stabilisci se lo strumento SQL client è a 32 o 64 bit. Installa il ODBC driver che soddisfa i requisiti del tuo strumento SQL client.

    Su Windows, nella pagina di DSNconfigurazione del ODBC driver di Amazon Redshift, in Impostazioni di connessione, inserisci le seguenti informazioni:

    • Per Data Source Name (Nome origine dati), immettere your-DSN. Questo specifica il nome dell'origine dati utilizzato come nome del ODBC profilo.

    • Per il tipo di autenticazione, scegli Identity Provider:. SAML Questo è il metodo di autenticazione utilizzato dal ODBC driver per l'autenticazione tramite Single Sign-on AD FS.

    • Per Cluster ID (ID cluster), immettere your-cluster-identifier.

    • Per Region (Regione), immettere your-cluster-region.

    • Per Database, immettere your-database-name.

    • Per User (Utente), immettere your-adfs-username. Si tratta del nome utente dell'account AD FS che si sta utilizzando per l'accesso Single Sign-On con autorizzazioni per il cluster per il quale si sta tentando di autenticare l'utilizzo. Utilizzalo solo per il tipo di autenticazione come Identity Provider:. SAML

    • Per Password, immettere your-adfs-password. Usalo solo perché il tipo di autenticazione è Identity Provider:. SAML

    Su macOS e Linux, modificare il file odbc.ini come segue:

    Nota

    Tutte le voci non fanno distinzione tra maiuscole e minuscole.

    • Per clusterid, immettere your-cluster-identifier. Questo è il nome del cluster Amazon Redshift creato.

    • Per region, immettere your-cluster-region. Questa è la AWS regione del cluster Amazon Redshift creato.

    • Per database, immettere your-database-name. Questo è il nome del database a cui si sta provando ad accedere nel cluster Amazon Redshift.

    • Per locale, immettere en-us. Questa è la lingua in cui vengono visualizzati i messaggi di errore.

    • Per iam, immettere 1. Questo valore indica al driver di autenticarsi utilizzando le credenziali. IAM

    • Per plugin_name, effettuare una delle seguenti operazioni:

      • Per ADFS Single Sign-On con configurazione, immettere. MFA BrowserSAML Questo è il metodo di autenticazione utilizzato dal ODBC driver per l'autenticazione su AD FS.

      • Per la configurazione di Single Sign-On di AD FS, immettere ADFS. Questo è il metodo di autenticazione usato dal ODBC driver per l'autenticazione con Azure AD Single Sign-on.

    • Per uid, immettere your-adfs-username. Si tratta del nome utente dell'account Microsoft Azure che si sta utilizzando per Single Sign-On con autorizzazioni per il cluster a cui si sta tentando di autenticarsi. Usalo solo per plugin_name is. ADFS

    • Per PWD, immettere your-adfs-password. Usalo solo per plugin_name is. ADFS

    Su macOS e Linux, modificare anche le impostazioni del profilo per aggiungere le seguenti esportazioni.

    export ODBCINI=/opt/amazon/redshift/Setup/odbc.ini
    export ODBCINSTINI=/opt/amazon/redshift/Setup/odbcinst.ini